《硅谷》杂志:几种常见信息认证方式的比较 |
2013-03-27 11:32 作者:肖广娣 凌 云 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
硅谷网文 据《硅谷》杂志2012年第23期刊文称,通过对计算机网络信息传输中几种典型的认证方式进行分析,根据他们各自的工作原理,技术特性,对基本身份认证,基于表单的身份认证,摘要身份认证和SSL进行系统的比较,便于我们直观的了解他们的特点恰当使用,保证网络中信息传输的安全性。
关键词:认证;基本;表单;摘要;安全套接层;加密;密钥
0引言
随着计算机网络技术的发展,方便快捷的互联网让人们渐渐习惯了在网上传输一些重要或敏感的信息,传递过程中涉及到对这些数据进行安全保护的问题,目前已经有很多方式可以实现,其主要技术涉及到身份验证和加密解密,比较常见的信息认证方式有基本身份验证,基于表单的身份验证,摘要式身份验证以及安全套接层协议。根据他们的工作方式和特点,我们进行分析研究,并对他们的特性进行对比,以便更好的提高网络中信息传递的安全性。
1基本身份认证(basic)
基本身份验证技术使用网络服务器的目录结构中的内容,所有目录中的文件应该具有相同的访问权限。用户发出请求时,提供他们的登录名和密码来访问目录中的文件。基本每个软件供应商的Web服务器都会使用基本身份验证机制定义自己的语法。
从安全角度来看,这项技术的主要缺点是,以明文的形式发送未加密的信息,只要有权访问网络,就可以得到信息。此外,所有的网页内容是未加密的,信息比较容易被截获,这些都不利于信息的保密,除非网络信息通过SSL/TLS进行加密。基本身份验证是HTTP协议的一部分,可以被大多数的Web浏览器所支持。
基本身份验证的工作过程:
1)客户端请求访问受保护的资源。
2)Web服务器返回一个对话框,询问用户名和密码。
3)客户端输入用户名和密码并发给服务器。
4)服务器检查凭据,如果成功,则返回所请求的资源。
2基于表单的身份认证(form-based)
基于表单的身份验证并不是特别安全。应为基于表单的认证用户对话的内容完全是以明文的方式,没有对目标服务器进行身份验证。如果有人对传输信息进行拦截,用户名和密码会很容易地被获取。
基于表单的身份验证的工作过程:
1)客户端请求访问受保护的资源。
2)如果你想在客户端进行身份验证时,服务器将客户端重定向到登录页面。
3)客户端提交的登记表发给服务器。
4)如果输入是成功的,则服务器将客户端定向到需要访问的资源。如果客户端无法进入,客户端会被定向到一个错误页面。
3摘要式身份认证(digest)
由于基本身份验证有一定的缺点,HTTP协议1.1版推出了摘要式身份验证。它通过使用请求/响应(质询/响应)机制,当用户发送一个随机数,它被设计用于对ID和密码的“识别”。在这种情况下,由用户输入的信息,传送随机值到所请求的URL,并通过Hash函数进行加密,然后发送响应。由于用户密码不是以明文的形式进行传送的,它在网络中不能被直接读取。随机数可以由随时变化的日期和时间所构成,可以有效防止重放攻击。
摘要式身份验证的工作过程:
1)授权的形式包含两个文本字段,用户输入的数据:用户名(登录),明文密码(pwd)。
2)授权表包含三个隐藏字段:随机字符串,指数(i)和隐藏的密码(password)。
3)当用户按照授权的形式访问一个网页,主要为了产生随机字符串。这个字符串被存储在会话当中。
4)由于用户可以同时打开多个网页,然后系统会不会“忘记”这样的前几页的随机字符串,这是因为在会话中会保存相应的字符串,这样的字符串不同于指数。
5)当用户输入用户名和密码,通过JavaScript来计算值:
password=sha1(sha1(pwd)+notepad)
6)在pwd写入一个空的字符,这是为了确保密码不通过网络以明文发送。这很容就能看出来,当你在浏览器栏按“登录”,你可以看到密码就被清除。
7)在字符串notepad同样有一个空白字符串-它在服务器上已经存在并且不会再要求发送第二次。
8)在MySQL中存储$pwd=sha1(密码)
9)在客户端我们确定来自于表格中的以基本指数形式的$notepad的值。
10)在服务器端进行计算的方法是:
$password=sha1($pwd.$notepad)
11)把得到的$password值和密码进行比较。如果这两个值匹配,那么就是用户输入了正确的密码。
4安全套接层SSL认证
SSL和TLS主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装数字证书,或服务器证书就可以激活服务器功能。SSL协议目前主要用于发送安全电子邮件、访问安全站点、网上招标与投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上购物等安全的网上电子交易活动。
SSL/TLS提供了以下功能:
•验证服务器-SSL/TLS允许Web客户端验证服务器的身份。支持SSL/TLS客户端可以使用一个公共密钥加密以验证服务器的名称和公共密钥的有效证书CA。此检查可能是很重要的,例如,一个用户在网络上发送一个信用卡号码和想要确认的接收服务器进行识别。
•客户端身份验证-SSL/TLS允许Web服务器验证用户的身份,和用来验证服务器的身份使用同样的技术。支持SSL/TLS的Web服务器软件可以验证客户端证书是有效的和已发行的从信任的CA列表中列出的证书。这也很重要,例如,银行服务器发送机密的财务信息给消费者,它必须确认收件人的证书。
•加密和完整性的连接-SSL/TLS加密和保护客户端和服务器之间传输信息的完整性。选择一个合适的算法SSL/TLS加密提供了高度的保密性,并且还保证了数据完整性。
SSL的工作过程:
1)客户端将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息(如加密算法和能支持的密钥大小)发送到服务器。
2)服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给客户端
3)客户端使用从服务器进行身份验证的信息。如果不能对服务器进行身份验证,用户会接到通知,说验证和加密的连接无法被建立。如果服务器已成功通过验证,客户端进入第4步。
4)使用在前面步骤中生成的数据,客户端创建一个主密钥,计算所需的会话密钥,以确保连接的完整性和保密性。
5)客户端产生一个会话密钥与服务器共享。在SSL握手协议完成后,客户端与服务器端通信信息的加密就会使用该会话密钥。服务器使用自己的私钥对接收的消息进行解密得到共享的会话密钥。在这种情况下,客户端向服务器发送签名数据和证书。
6)服务器请求对客户端进行身份验证。如果客户端无法进行身份验证,会话将被终止。
7)客户端和服务器都使用主密钥生成会话密钥。
8)客户端向服务器发送消息,通知它从客户端向服务器的会话密钥进行加密。然后,它发送一个加密的消息,表明数据握手的客户端部分完成。
9)服务器将消息发送到客户端,通知它之后来自于服务器的消息将是被加密的会话密钥。然后,它发送一个单独的加密消息,表示后端数据握手完成。
10)现在握手SSL/TLS完成,并开始SSL/TLS会话。客户端和服务器使用会话密钥进行加密和解密,并检查相互发送数据的完整性。
5几种认证方式的比较结果
认证方式 主动验证 使用加密算法 相互认证 建立安全链接 验证对象
BASIC 客户端 无 否 否 密码
FORM-BASED 客户端 无 否 否 密码
DIGEST 客户端 Hash函数,MD5 否 否 密码
SSL 服务器 数字签名,对称加密和非对称加密 是 是 公钥证书
通过以上这个表我们可以看到,各种认证方式的技术特征一目了然,他们各有自己的特点,综合衡量SSL的整体安全性最好。在日常生活中这几种方式都广泛应用,虽然有他们各自的不足,相信随着技术的进步,将会不断完善,保证我们在网络上安全有效和完整的传递信息。
作者简介:
肖广娣,毕业于莫斯科大学计算数学与控制系,现在苏州大学任教,研究方向:计算机网络与信息安全;凌云,教授,毕业于西南交通大学计算机专业,苏州大学计算机科学与技术学院副院长,研究方向:计算机网络与信息安全。
|
|
|
|
【对“《硅谷》杂志:几种常见信息认证方式的比较”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|